Hierarki Regulasi di Atas PBI 23/2021
PBI 23/2021 bukanlah regulasi tertinggi dalam tatanan hukum Indonesia. Di atasnya ada beberapa undang-undang yang memberikan kewenangan kepada Bank Indonesia untuk menetapkan regulasi sistem pembayaran.
Undang-Undang No. 23 Tahun 1999 tentang Bank Indonesia jo. Undang-Undang No. 6 Tahun 2009 tentang Penetapan Peraturan Pemerintah Pengganti Undang-Undang No. 2 Tahun 2008 tentang Perubahan Kedua atas Undang-Undang No. 23 Tahun 1999 adalah landasan konstitusional dari kewenangan Bank Indonesia mengatur sistem pembayaran. UU ini menetapkan bahwa Bank Indonesia adalah bank sentral Indonesia dan memiliki kewenangan untuk mengatur dan menjaga kelancaran sistem pembayaran nasional.
Undang-Undang No. 3 Tahun 2011 tentang Transfer Dana dan Undang-Undang No. 7 Tahun 2011 tentang Mata Uang adalah UU spesifik yang mengatur domain tertentu dari sistem pembayaran (transfer dana dan nilai uang).
PBI 23/2021 adalah instrumen regulasi yang menimplementasikan kewenangan-kewenangan yang diberikan oleh UU-UU tersebut. Oleh karena itu, jika ada kontradiksi antara PBI 23/2021 dan UU yang lebih tinggi, UU yang berlaku.
Interaksi dengan UU PDP (UU No. 27/2022)
Undang-Undang No. 27 Tahun 2022 tentang Pelindungan Data Pribadi (UU PDP) adalah undang-undang baru yang mengatur perlindungan data pribadi secara komprehensif di Indonesia. Karena PJP menangani data pembayaran yang merupakan data pribadi, UU PDP sangat relevan bagi PJP.
Data pribadi yang dikelola PJP mencakup: nama, nomor identitas, nomor telepon, alamat, riwayat transaksi, informasi rekening bank, dan informasi sensitif lainnya. Semua ini dilindungi oleh UU PDP dan harus dikelola sesuai dengan prinsip-prinsip data protection yang ketat.
Berikut adalah pemetaan interaksi antara kewajiban PBI 23/2021 dan UU PDP:
| Kewajiban | Sumber Regulasi | Overlap? | Penanganan Praktis |
|---|---|---|---|
| Enkripsi data pembayaran dalam transmisi | PBI 23/2021 Pasal 19 + UU PDP Pasal 35 | Ya, keduanya mensyaratkan keamanan teknis | Satu kontrol enkripsi TLS 1.3 dengan algoritma kuat memenuhi kedua kewajiban |
| Notifikasi kebocoran data ke regulator | PBI 23/2021 Pasal 29 (notifikasi BI 2x24 jam) + UU PDP Pasal 37 (notifikasi KPPDP 14 hari) | Tidak langsung overlap; tenggat dan otoritas berbeda | Prosedur terpisah: notifikasi cepat ke BI dalam 48 jam, notifikasi formal ke KPPDP dalam 14 hari |
| Perjanjian pemrosesan data dengan pihak ketiga | UU PDP Pasal 21 (Data Processing Agreement wajib) + PBI 23/2021 (kontrak pihak ketiga) | Ya, persyaratan serupa namun detail berbeda | DPA yang komprehensif dan memenuhi standar UU PDP akan secara otomatis mencakup persyaratan PBI 23/2021 |
| Hak subjek data untuk penghapusan (right to be forgotten) | UU PDP (hak data subject) | Tidak langsung diatur PBI 23/2021 | Kebijakan retention data PJP harus mempertimbangkan keduanya: kebutuhan compliance PBI untuk audit trail vs. hak penghapusan UU PDP |
| Audit keamanan data dan penetration testing | PBI 23/2021 Pasal 19 + UU PDP Pasal 35 | Ya, keduanya memerlukan audit keamanan | Satu program audit keamanan yang memenuhi kedua standar (ISO 27001) adalah efisien |
| KONSEP KUNCI | PBI 23/2021 tidak berdiri sendiri. Operasi PJP yang patuh harus mempertimbangkan keseluruhannya: PBI 23/2021 untuk perizinan dan operasional, UU PDP untuk data nasabah, regulasi APU-PPT untuk pencegahan pencucian uang, dan regulasi OJK untuk PJP Bank. Mengoptimalkan kepatuhan di satu regulasi sambil mengabaikan yang lain adalah resep untuk temuan pemeriksaan multi-regulasi. |
Koordinasi BI dan OJK untuk PJP Bank
Untuk PJP yang berbentuk Bank (PJP Bank), pengawasan regulasi adalah tanggung jawab bersama antara Bank Indonesia dan Otoritas Jasa Keuangan (OJK). OJK adalah regulator utama untuk aspek perbankan, sementara BI adalah regulator untuk aspek jasa pembayaran. Koordinasi ini penting untuk menghindari duplikasi kewajiban atau celah regulasi.
| Aspek | Kewenangan OJK | Kewenangan BI | Mekanisme Koordinasi |
|---|---|---|---|
| Perizinan operasi bank | OJK | - | OJK adalah pintu utama; PJP Bank mengajukan permohonan ke OJK, kemudian OJK berkoordinasi dengan BI untuk aspek jasa pembayaran |
| Perizinan jasa pembayaran | - | BI | PJP Bank yang ingin menjalankan jasa pembayaran harus memiliki izin/persetujuan BI untuk setiap kelompok kegiatan pembayaran |
| Pengawasan kehati-hatian perbankan (prudential supervision) | OJK | - | OJK melakukan pemeriksaan kehati-hatian bank dan melaporkan temuan material ke BI jika relevan dengan jasa pembayaran |
| Pengawasan sistem pembayaran | - | BI | BI dapat meminta data dan melakukan pemeriksaan kepada PJP Bank melalui jalur koordinasi dengan OJK |
| Perlindungan konsumen perbankan | OJK (POJK 6/2022) | - | OJK adalah lead regulator untuk perlindungan konsumen perbankan; BI fokus pada perlindungan konsumen pembayaran khusus |
| Respon terhadap risk ke sistem pembayaran | - | BI | Jika ada risiko ke sistem pembayaran nasional dari PJP Bank, BI dapat meminta tindakan korektif kepada bank melalui OJK |
Interaksi dengan Regulasi Fintech OJK
Otoritas Jasa Keuangan (OJK) mengatur fintech melalui beberapa peraturan:
POJK No. 10 Tahun 2022 tentang Layanan Pendanaan Modal Usaha Berbasis Teknologi Informasi (LPMUBTI / P2P Lending) mengatur platform peer-to-peer lending. Jika platform P2P lending juga menyediakan kegiatan jasa pembayaran (misalnya, fitur transfer dana untuk pencairan pinjaman), maka PJP tersebut juga tunduk pada PBI 23/2021.
POJK No. 13 Tahun 2018 tentang Inovasi Keuangan Digital (Regulatory Sandbox) memberikan ruang bagi fintech untuk menguji model bisnis baru dalam lingkungan yang terkontrol. PJP yang ingin menjalankan kegiatan pembayaran yang novel dapat memanfaatkan sandbox untuk menguji sebelum operasi skala penuh. Namun, setelah keluar dari sandbox, PJP tetap harus mematuhi PBI 23/2021.
POJK No. 77 Tahun 2016 tentang Layanan Pendanaan Modal Usaha Berbasis Teknologi Informasi adalah peraturan historis yang sebagian sudah digantikan oleh POJK 10/2022, namun masih relevan untuk memahami evolusi regulasi fintech di Indonesia.
Butuh Bantuan dari Strategi sampai Implementasi?
Dari pemetaan kewajiban PBI 23 hingga penguatan governance, risk, dan security controls, Bitlion membantu perusahaan bergerak lebih cepat dengan pendekatan konsultatif dan praktis.
Peran BSSN dan Keamanan Siber
Badan Siber dan Sandi Negara (BSSN) adalah lembaga pemerintah yang mengatur keamanan siber nasional. Perpres No. 82 Tahun 2022 tentang Perlindungan Infrastruktur Informasi Kritis (IIK) menetapkan bahwa sektor-sektor strategis nasional, termasuk sektor keuangan, harus melindungi infrastruktur informasi mereka dengan standar keamanan yang ketat.
Pertanyaan yang relevan bagi PJP adalah: apakah PJP termasuk infrastruktur informasi kritis menurut BSSN? Jawabannya bergantung pada skala dan signifikansi operasional PJP. PJP besar yang menangani volume transaksi signifikan mungkin dianggap sebagai bagian dari IIK sektor keuangan.
Jika PJP dinyatakan sebagai IIK, maka persyaratan keamanan siber dari BSSN (yang diatur dalam Panduan Umum Keamanan IIK dan Pedoman Teknis BSSN) dapat melebihi persyaratan minimum PBI 23/2021. Praktik terbaik adalah menggunakan satu framework keamanan yang komprehensif (seperti ISO 27001) yang memenuhi persyaratan keamanan PBI 23/2021, UU PDP, dan standar BSSN secara bersamaan.
| PENTING | Untuk PJP yang termasuk infrastruktur informasi kritis (IIK) berdasarkan Perpres 82/2022 dan panduan BSSN, kewajiban keamanan siber dari BSSN dapat melebihi persyaratan minimum PBI 23/2021. PJP yang beroperasi di sektor-sektor yang ditetapkan sebagai IIK (keuangan termasuk di dalamnya) harus mengkaji apakah mereka masuk dalam cakupan Perpres 82/2022 secara terpisah dari analisis kepatuhan PBI 23/2021. |
Interaksi dengan Regulasi PPATK dan APU-PPT
Undang-Undang No. 8 Tahun 2010 tentang Pencegahan dan Pemberantasan Tindak Pidana Pencucian Uang (TPPU) menetapkan kewajiban anti-money laundering. PJP, khususnya PJP Kelompok 3 (transfer dana), adalah Pihak Pelapor kepada Pusat Pelaporan dan Analisis Transaksi Keuangan (PPATK).
Kewajiban utama PJP sebagai Pihak Pelapor adalah: (1) melaporkan transaksi mencurigakan (STR) ke PPATK, (2) melaporkan transaksi keuangan tunai (CTR) yang melampaui threshold tertentu, (3) menjalankan customer due diligence (KYC) yang ketat, dan (4) mempertahankan catatan transaksi untuk keperluan investigasi.
Interaksi antara kewajiban PBI 23/2021 dan kewajiban APU-PPT adalah langsung dan mendalam. Misalnya, PBI 23/2021 Pasal 15 tentang pengelolaan dana nasabah harus diintegrasikan dengan prinsip APU-PPT dalam mendesain mekanisme transfer dana yang aman dari abuse terkait pencucian uang.
Peta Regulasi Lengkap untuk PJP
Berikut adalah peta regulasi lengkap yang relevan bagi PJP:
| Regulasi | Otoritas | Relevansi untuk PJP | Prioritas Kepatuhan |
|---|---|---|---|
| UU No. 23/1999 jo. UU 6/2009 tentang Bank Indonesia | Bank Indonesia | Landasan konstitusional kewenangan BI; tidak langsung dioperasionalkan | Referensi fundamental |
| PBI 23/6/PBI/2021 | Bank Indonesia | Regulasi perizinan dan operasional utama PJP | Sangat Tinggi |
| UU No. 27/2022 tentang Perlindungan Data Pribadi | Kominfo / KPPDP | Perlindungan data pribadi nasabah pembayaran | Sangat Tinggi |
| POJK No. 6/2022 tentang Perlindungan Konsumen | OJK | Berlaku untuk PJP Bank; referensi untuk PJP Nonbank | Tinggi (terutama PJP Bank) |
| UU No. 8/2010 tentang TPPU + Regulasi PPATK | PPATK / Kejaksaan | APU-PPT; khususnya PJP Kelompok 3 (transfer dana) | Tinggi (terutama Kelompok 3) |
| Perpres No. 82/2022 + Panduan BSSN | BSSN | Keamanan siber untuk infrastruktur kritis | Tinggi (infrastruktur kritis) |
| PADG Pelaksana PBI 23/2021 | Bank Indonesia | Detail teknis implementasi PBI 23/2021 | Tinggi |
| Surat Edaran Bank Indonesia (SEBI) | Bank Indonesia | Klarifikasi dan pengumuman teknis | Tinggi |
| WAWASAN BITLION | Program kepatuhan terpadu yang Bitlion GRC kembangkan untuk PJP menggunakan ISO 27001 sebagai kerangka keamanan informasi yang memenuhi persyaratan BI secara teknis sekaligus menyediakan bukti yang dapat digunakan untuk pemeriksaan BSSN dan demonstrasi kepatuhan UU PDP. Satu investasi sertifikasi yang menghasilkan bukti kepatuhan multi-regulasi adalah model paling efisien untuk PJP yang beroperasi dalam lanskap regulasi yang kompleks ini. |